我们首先安装网关的系统,网上我们有三块网卡:第一块网卡为eth0,IP地址为212.1.1.1的公网地址。第二块网卡为eth1,IP地址为192.168.1.1。在这里我们选用RedHat的一个Linux发行版本CentOS。安装完成后,系统自带了一套完善的防火墙系统iptables。首先我们在建立一个firewall,并赋于它执行的权限。#touch /etc/rc.d/firewall#chmod u+x /etc/rc.d/firewall首先,为了使客户机可以正常上网,我们先在这个文件内写入:#!/bin/shecho 1 > /proc/sys/net/ipv4/ip_forward在使用之前需要先对iptables的规则进行清除iptables -Fiptables -t nat -Fiptables -Xiptables -t nat -Xiptables -F -t mangleiptables -t mangle –X为了有效的防止Spoofing Attack,可以继续添加下面的语句if [ -e /proc/sys/net/ipv4/tcp_ecn ]thenecho 0 > /proc/sys/net/ipv4/tcp_ecnfi接下来,我们要预制iptables的三个内置链iptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -i eth0 -j ACCEPTPORT="80,21,110,23"iptables -A INPUT -p tcp -m multiport --dports $PORT -m state --state NEW -j ACCEPTiptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -j MIRRORiptables -P INPUT DROP前期的准备工作已经做好,我们将要进行网管管理功能的相应规则。#禁用了192.168.1.1/24这个段内的主机禁止使用了p2p协议的软件,泛指BT下载类。iptables -A FORWARD -m iprange --src-range 192.168.1.1-192.168.1.254 -m ipp2p --ipp2p -j DROP#屏蔽访问指定的网站iptables -A FORWARD -m domain --name "www.test.com" -j DROP#禁止上班时间使用QQiptables -A FORWARD -m layer7 --l7proto qq -m time --timestart 8:00 --timestop 12:00 --days Mon,Tue,Wed,Thu,Fri -j DROPiptables -A FORWARD -m layer7 --l7proto qq -m time --timestart 13:00 --timestop 17:30 --days Mon,Tue,Wed,Thu,Fri -j DROP特别说明一下,使用layer7这个模块,可以禁止现在市面上大部分的IM工具。#发现某个客户机在局域网内捣乱,可以使用下面的规则iptables -I FORWARD -m mac --mac-source 00:11:FF:FF:FF:FF -j DROP其中00:11:FF:FF:FF:FF是该客户机的MAC地址。#将内网内的WEB服务器映射至公网iptables -t nat -A PREROUTING -p tcp –d 212.1.1.1 --dport 80 -j DNAT --to 192.168.1.10:80按照上述方法,我们就不难把mail、FTP等内网服务映射至公网再者我们配合TC,来实现每台客户机的限速tc qdisc del dev eth0 root 2>/dev/null tc qdisc add dev eth0 root handle 2: htbtc class add dev eth0 parent 2: classid 2:1 htb rate 1024kbiti=1;while [ $i -lt 254 ]dotc class add dev eth0 parent 2:1 classid 2:2$i htb rate 1024kbit ceil 1024kbit burst 15ktc qdisc add dev eth0 parent 2:2$i handle 2$i: sfqtc filter add dev eth0 parent 2:0 protocol ip prio 4 u32 match ip dst 192.168.1.$i flowid 2:2$ii=`expr $i + 1`done从上面的脚本来看,如果客户机的速度超过了1024kbit,那么就会以15kbit的速度进行下调。为了防止局域网内的IP地址盗用问题,我们可以编辑/etc/ethers文件以下面这种格式IP-addr MAC-addr编写完了之后,执行arp –f 这样的话,如果IP地址与MAC地址不匹配的话,客户机就无法上网了,这样也可以有效的防止ARP病毒的攻击。这样,一台相对安全的服务器就已经设定完成了。当然,安全是一个整体,不要改过任何一个细节,因为它都有可能是一个安全隐患。Linux NFS服务固定端口与防火墙配置Linux禁止单用户模式(single)来增强系统安全相关资讯 Linux安全
- 发现针对 Linux 服务器和代码库的 (11/08/2015 09:11:50)
- Linux安全与优化 (12/05/2014 17:04:31)
- 加强 Linux 桌面安全 (08/15/2014 11:36:10)
| - 牢记这七点 让你的Linux服务器变得 (08/12/2015 15:39:07)
- 树大招风,Linux的安全威胁正在不 (08/24/2014 21:44:47)
- GNU/Linux安全基线与加固 (07/22/2014 13:51:21)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
|
易网时代-编程资源站